La Prévention Dynamique est un moteur de sécurité basé sur le comportement qui applique de manière préventive des contrôles dynamiques en réponse à des menaces détectées pour réduire la surface d'attaque et atténuer les menaces tôt, avant tout impact.
Au lieu de se fier à des règles ou signatures statiques, la Prévention Dynamique tire parti de la visibilité du trafic à l'échelle du réseau de Cato pour apprendre continuellement ce qui est un comportement normal sur votre réseau. Elle établit une base de référence comportementale pour chaque entité, représentant les schémas d'utilisation typiques et l'activité attendue.
Lorsque des comportements anormaux sont détectés, la Prévention Dynamique applique automatiquement des contrôles dynamiques temporaires. Ces contrôles dynamiques adaptatifs bloquent l'accès aux services exposés, actions ou chemins d'accès pour réduire la surface d'attaque potentielle. Les contrôles imposent des actions d'atténuation basées sur une analyse approfondie et une recherche de nombreux scénarios de violation par l'équipe de recherche de Cato.
La Prévention Dynamique réévalue continuellement les comportements au fil du temps et ajuste ou supprime automatiquement les contrôles appliqués à mesure que les comportements évoluent. Cela permet de perturber tôt les activités d'attaque, réduit la surface d'attaque exposée et minimise le besoin d'intervention manuelle, tout en maintenant une visibilité complète et un contrôle administratif.
Pour fournir une vue plus complète du comportement à risque d'un utilisateur, les événements de blocage déclenchés par le moteur de sécurité comportemental de Prévention Dynamique sont intégrés dans le score de risque de l'utilisateur. Pour plus d'informations, voir Comprendre le Niveau de Risque Utilisateur.
La Prévention Dynamique nécessite une Licence de Protection Avancée contre les Menaces
Cas d'utilisation - Blocage de la Découverte et de la Communication de Commande-et-Contrôle après un Compromis par Hameçonnage
Un employé de l'entreprise ABC a été victime d'une attaque de phishing qui a compromis leur point de terminaison. Peu après la compromission, l'attaquant a initié des tentatives de découverte et de cartographie réseau en utilisant des outils légitimes. Cette activité légitime n'avait jamais été observée sur cet appareil auparavant. La prévention dynamique a immédiatement détecté ce comportement comme une déviation à haut risque de la norme établie, l'identifiant comme une reconnaissance malveillante.
En réponse, le moteur de prévention dynamique applique un contrôle de sécurité adaptatif empêchant le téléchargement et l'exécution de AnyDesk. L'attaquant tentait d'utiliser ce fichier pour l'accès à distance et la communication C2. En appliquant automatiquement ce contrôle, la prévention dynamique a arrêté l'attaque à un stade précoce. Cela a empêché le contrôle externe, stoppé la livraison ultérieure de charges, et éliminé le risque de mouvement latéral.
Avec la Prévention Dynamique, l'entreprise ABC neutralise automatiquement les menaces post-phishing sans intervention manuelle, réduisant considérablement la surface d'attaque, l'impact et renforçant sa posture générale de sécurité.
La Prévention Dynamique analyse continuellement l'activité dans votre environnement pour identifier et arrêter les comportements suspects en utilisant le processus en quatre étapes suivant :
- Établir une Base de Référence de l'Entité : La Prévention Dynamique surveille continuellement l'activité réseau au fil du temps pour établir un profil de comportement normal pour chaque entité. Une entité peut être un hôte, tel qu'un ordinateur portable ou un serveur.
- Détecter les Déviations: La Prévention Dynamique collecte des signaux en temps réel de plusieurs moteurs de sécurité, y compris des services en ligne et hors bande comme l'Anti-Malware, l'IPS, et le DLP. Elle analyse également les insights à long terme du lac de données Cato, qui agrège tous les événements de sécurité. Ces signaux sont comparés à la base de référence comportementale pour identifier les activités anormales. Même des actions qui semblent bénignes peuvent être signalées si elles s'écartent de manière significative du comportement normal.
- Contrôles Dynamiques : Pour réduire la surface d'attaque, lorsque un comportement suspect est détecté, la Prévention Dynamique applique automatiquement un contrôle approprié.
- Bloquer les Actions Malveillantes: Si une action malveillante est entreprise, elle est bloquée en temps réel pour empêcher les menaces.
- Adapter les Contrôles Dynamiques: La Prévention Dynamique réévalue continuellement le comportement des entités et adapte ou supprime dynamiquement les contrôles appliqués à mesure que le niveau de risque change.
De nombreuses attaques modernes consistent en une séquence d'actions à faible signal qui semblent légitimes isolément mais indiquent une intention malveillante lorsqu'elles sont corrélées dans le temps. Alors que les moteurs de sécurité traditionnels appliquent efficacement les politiques et bloquent les menaces connues à des étapes précises du cycle de vie de l'attaque, ils fonctionnent généralement dans des contextes d'évaluation de courte durée. La détection de ces menaces exige de corréler le trafic, les événements de sécurité, et le comportement des entités à travers des fenêtres de temps étendues, ce qui nécessite autrement un ajustement complexe des politiques, un étalonnage manuel et une compréhension approfondie des modèles d'accès normaux dans l'organisation.
La Prévention Dynamique ajoute une couche de prévention adaptative qui corrèle les signaux sur des échéances prolongées et de multiples sources de données. En analysant les flux de trafic, les événements et les modèles comportementaux ensemble, elle identifie les menaces avancées qui n'émergent que lorsque les actions sont vues comme partie d'une séquence plus large plutôt que d'incidents individuels.
Lorsque la Prévention Dynamique détecte un comportement suspect, elle applique automatiquement une application graduée et contextuelle pour arrêter la progression des menaces en temps réel. Ces restrictions adaptatives sont appliquées immédiatement, sans nécessiter de règles personnalisées ou d'intervention manuelle, et sont continuellement ajustées en fonction de l'évaluation des risques mise à jour.
Ensemble, les moteurs de sécurité existants offrent une protection précise au niveau de l'événement, tandis que la Prévention Dynamique fournit une détection à long terme et une réponse automatisée. Cette combinaison vous permet de prévenir des attaques sophistiquées qui échappent aux contrôles traditionnels, sans accroître la complexité de la configuration ou le fardeau opérationnel.
0 commentaire
Cet article n'accepte pas de commentaires.